Gefühlte vs reale Sicherheit

Anlässlich des CCC vor einigen Wochen hatte ich ja schonmal das eine oder andere zum Thema Sicherheit geschrieben. Da war das Thema der Politiker- und Prominentenleaks noch gar nicht akut (bzw. akut schon, nur noch nicht in der Öffentlichkeit). Nun haben die Kollegen von housecontrollers einen Artikel über die Sicherheit von Überwachungskameras geschrieben – die dort genannten Tipps sollte man unbedingt berücksichtigen, dennoch hat mich dieser Artikel dazu bewogen, mal ein paar Dinge klarzustellen, was das Thema Sicherheit angeht.

Konkret steht im Artikel ein weiterer Link, der sich wiederum mit einem Test der Stiftung Warentest beschäftigt. Die Warentester haben angemerkt, dass viele IP-Kameras ungenügend abgesichert sind. Soweit so gut. Allerdings ist der Test der Stiftung Warentest ein gutes Beispiel dafür, wie gefühlte und echte Sicherheit auseinanderlaufen.

Am konkreten Beispiel: es wurde seitens der Tester moniert, dass viele Kameras mit der Nutzer/Passwortkombination „admin/admin“ tatsächlich schlecht abgesichert sind und einige Geräte zudem offene Ports aufweisen (und somit wiederum für Botnet-Attacken anfällig sind). Alles so weit richtig. Aber andererseits schnell behoben: Nutzer und Password ändern, dem Router befehlen, diese Kamera gar nicht erst ins Internet zu lassen – Problem behoben.

Ok, da mag der Eine oder Andere einwenden, dass für technisch weniger visierte Nutzer beides oft eine unüberwindliche Hürde darstellt. Ich würde zwar einerseits argumentieren, wer eine billige, aus China importierte, schlecht dokumentierte Kamera in sein Netzwerk einbinden kann, für den sollte die Änderung von Nutzer und Passwort kein Problem sein. Aber gut, es gibt ja nun auch andere Beispiele.

FaceID unsicherer als TouchID!

Mein Lieblingsbeispiel kommt von Apple. Irgendwie hat Apple es geschafft, seinen Nutzern weiszumachen, dass FaceID – also die Entsperrung des iPhones über einen Gesichtsscan – sicherer sei als die Entsperrung über einen Fingerabdruck (TouchID). Es stimmt zwar tatsächlich, dass ein Gesicht mehr eindeutige biometrische Merkmale enthält als ein Fingerabdruck und insofern ein Gesicht schwieriger zu fälschen ist als ein Finger. Das heißt aber nicht, dass FaceID sicherer ist, im Gegenteil. Folgende Situation. Ich sitze im Cafe, mein Handy liegt auf dem Tisch. Wenn jetzt ein Dieb kommt und das iPhone einfach mitnimmt, wäre ich im ersten Augenblick vermutlich etwas perplex ob dieser Dreistigkeit. Für den Dieb wiederum ist es ein Leichtes, das Gerät kurz vor mein Gesicht zu halten und es somit zu entsperren und dann mitsamt meiner Daten (inkl. eventuell dem neu eingeführten ApplePay) stiften zu gehen. Das ist nicht nur theoretisch möglich, sondern sogar recht einfach. Sich meine Hand zu schnappen und den Finger auf den HomeButton zu legen wiederum wirkt irgendwie unrealistischer.

Ein weiteres Beispiel: im Zuge des o.g. Leaks weisen viele Ratgeber – richtigerweise – darauf hin, wenn möglich die sogenannte 2-Faktor-Authentifizierung zu verwenden. Wie gesagt, sollte jeder beherzigen. Aber wer sein Online-Banking Programm und die TAN-Generator App auf dem gleichen Gerät vorhält, dem ist im Zweifel (siehe Cafe-Szenario im letzten Absatz) mit einer 2-Faktor-Authentifizierung auch nicht geholfen.

Die Krux mit den Passwörtern

Immer noch nicht überzeugt? Einen hab ich noch: das klassische Passwort-Problem. Es wurde ja jahrelang gepredigt, dass ein gutes Passwort aus einer Kombination von Buchstaben, Zahlen, Groß-/Kleinschreibung und Sonderzeichen zu bestehen habe. Aber ist das wirklich sinnvoll? Ein Beispiel: Einerseits das Passwort: /6Tf(* – alles drin, was man angeblich so braucht, allerdings nur 6 Zeichen lang. Demgegenüber diese Alternative: MeineGroßmutterHeidelindehateinenHundnamensRüdiger. Wer tatsächlich eine Oma mit einem Hund gleichen Namens hat, wird sich diese Kombination bestimmt einfacher merken können. Selbst für alle anderen ist ein solcher Satz einfacher zu behalten als die kryptische Zeichenkombination aus dem Beispiel vorher. Aber welches Passwort ist sicherer?

Dem jahrelangen Mantra gemäß, nach dem „aussprechbare“ Wörter unsicher sein, kryptische Zeichenfolgen dagegen sicher, sollte eigentlich Version 1 sicherer sein. Nun hat dieses Passwort aber – bewusst – nur 6 Zeichen. Der Rest ist simple Mathematik. Hier beispielsweise habe ich gefunden, wie schnell ein Computer ein solches Passwort „knacken“ kann. Zwar gibt es keine Tabelle für den Einsatz von zusätzlichen Sonderzeichen, aber nimmt man Ziffern, Groß- und Kleinbuchstaben, so ist ein 6-stelliges Passwort schon in knapp 10 Sekunden geknackt.  Der Satz aus dem 2. Beispiel dagegen hat 50 Zeichen. Diesen per Rechenoperation zu knacken ist mit heutigen Computern quasi nicht möglich, schon bei 15 Zeichen ist ein PC gute 800 Millionen (!) Jahre beschäftigt.

Ja, wird ein schlauer Mensch nun einwerfen wollen, aber die Wörter des Satzes sind ja alle im Wörterbuch zu finden. Das stimmt zwar, aber der Rechner sieht erstens nicht, wo ein Wort aufhört und ein weiteres anfängt. Zweitens kann er aufgrund des verschlüsselten Wertes, dem sogenannten Hash-Wert, auch keine weiteren Rückschlüsse auf die Struktur des Passworts ziehen – ob dort ein Satz steht oder 50 kryptische Zeichen, weiß der Rechner schlicht und ergreifend nicht. Kein Wunder, dass SIcherheitsforscher schon vor einiger Zeit einen Paradigmenwechsel für Passwörter propagiert haben. Dessen zentrale Aussage: Länge schlägt  Komplexität um Längen.

Trust me on the sunscreen

Was folgt also daraus: Erstens sollte man beim Thema Sicherheit nicht unbedingt seinem Gefühl vertrauen. Und zweitens sollte man Marketingaussagen von Firmen, deren originärstes Interesse ist, Produkte zu verkaufen, immer hinterfragen. Drittens aber auch: gesunden Menschenverstand einsetzen und auf die Experten hören. Die kennen sich meistens mit dem Thema aus.

Patrick Boch

Patrick beschäftigt sich beruflich schon länger mit Sicherheit - allerdings für eine andere Zielgruppe. Privat sorgt er lieber für ein smartes - und sicheres - Zuhause.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen